今日頭條
官方微信
官方抖音
案例頻道
盡管在IP虛擬專網(wǎng)(VPN)中使用多協(xié)議標(biāo)簽交換(MPLS)協(xié)議具有許多配置優(yōu)點(diǎn),但仍需要特殊的數(shù)據(jù)包標(biāo)記才能正確運(yùn)行。本文分析了在MPLS網(wǎng)絡(luò)集成中存在的技術(shù)挑戰(zhàn),提出了傳輸流分類、隧道服務(wù)等級標(biāo)記和應(yīng)用可見性模式等解決方法。
IP虛擬專網(wǎng)的應(yīng)用發(fā)展很快,這很大程度上由于IP虛擬專網(wǎng)的靈活性,目前有面向連接和面向無連接兩種選擇。面向連接的方式使用像IP安全協(xié)議(IPsec)、點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)或第2層隧道協(xié)議(L2TP)等基于IP的隧道協(xié)議來創(chuàng)建多個(gè)點(diǎn)對點(diǎn)連接。雖然這種方式支持任意點(diǎn)之間的連接性,但卻需要維護(hù)起來非常費(fèi)時(shí)的全網(wǎng)狀(full mesh)配置。這就是說,集中星型(hub-and-spoke)設(shè)計(jì)有助于限制全網(wǎng)狀的范圍。
無連接的方式使用多協(xié)議標(biāo)簽交換的子IP層協(xié)議,在一條物理或虛擬電路上創(chuàng)建多條接入網(wǎng)絡(luò)的邏輯連接。使用MPLS,一種動(dòng)態(tài)標(biāo)簽交換機(jī)制可提供無連接的連接性,因此在增加新站點(diǎn)時(shí),IT部門無需重新配置VPN即可獲得任意之間的連接性。
盡管MPLS VPN具有許多配置優(yōu)點(diǎn),但是它們也需要特殊的數(shù)據(jù)包標(biāo)記才能正確運(yùn)行。許多WAN優(yōu)化平臺(tái)不能支持這些所需標(biāo)記。在選擇WAN優(yōu)化設(shè)備時(shí),IT部門必須確保系統(tǒng)支持這個(gè)必需的特性,以便能與電信運(yùn)營商的MPLS網(wǎng)絡(luò)相互操作。
MPLS網(wǎng)絡(luò)集成問題
在最高層,MPLS網(wǎng)絡(luò)對于它們所服務(wù)的企業(yè)網(wǎng)絡(luò)上的LAN設(shè)備(包括WAN優(yōu)化設(shè)備)是透明的。在企業(yè)網(wǎng)邊緣,一臺(tái)WAN路由器被配置為在其連接WAN的接口上使用MPLS協(xié)議。該WAN路由器常常被稱為MPLS客戶邊緣路由器(MPLS CE)或標(biāo)簽邊緣路由器(MPLS LER)。
圖1:隧道數(shù)據(jù)包服務(wù)類型標(biāo)記
在這臺(tái)MPLS CE路由器上,一種內(nèi)部路由協(xié)議和標(biāo)簽分配機(jī)制動(dòng)態(tài)地將有關(guān)IP可到達(dá)性的信息與通過MPLS網(wǎng)絡(luò)中可用的標(biāo)簽交換路徑捆綁在一起。從某種意義上講,標(biāo)簽交換路徑提供了與交換虛擬電路類似的傳輸服務(wù)。在MPLS CE連接LAN的接口上,只需要運(yùn)行內(nèi)部路由協(xié)議。
雖然MPLS網(wǎng)絡(luò)的控制和轉(zhuǎn)發(fā)層面操作對于安裝在MPLS CE路由器后面的LAN設(shè)備完全透明,但許多MPLS提供商為WAN上不同等級的傳輸流提供服務(wù)等級保證。此時(shí)面臨的挑戰(zhàn)在于如何對MPLS CE路由器上或之前的不同傳輸流類型進(jìn)行正確分類。
可以通過使用路由器的應(yīng)用識(shí)別功能并為數(shù)據(jù)包加上正確的標(biāo)志,將應(yīng)用直接映射到數(shù)據(jù)包等級的不同類型上。路由器還能根據(jù)輸入端口或IP子網(wǎng)來標(biāo)記傳輸流。標(biāo)記技術(shù)包括在IP包頭中設(shè)置IP服務(wù)類型(ToS)字節(jié)的IP優(yōu)先字段,或在IP包頭中設(shè)置區(qū)分服務(wù)代碼點(diǎn)(DSCP)。
IT人員應(yīng)該期待能壓縮流向WAN的原始IP流,并將其封裝到用戶數(shù)據(jù)報(bào)協(xié)議(UDP)或IP凈載荷壓縮隧道數(shù)據(jù)包的WAN優(yōu)化設(shè)備。如果MPLS網(wǎng)絡(luò)不使用服務(wù)等級保證,則WAN優(yōu)化設(shè)備無需進(jìn)行專門的調(diào)整。但為了能與不使用服務(wù)等級保證的MPLS網(wǎng)絡(luò)順利集成,在WAN優(yōu)化平臺(tái)進(jìn)行數(shù)據(jù)包修改時(shí)必須考慮MPLS網(wǎng)絡(luò)的某些要求。
隧道服務(wù)等級標(biāo)記
如果MPLS PE路由器被配置為利用IP包頭中的IP ToS或DSCP值來決定分配哪種MPLS服務(wù)等級,那么網(wǎng)絡(luò)某個(gè)位置上的一臺(tái)設(shè)備必須負(fù)責(zé)正確地對傳輸流分類,并將正確的IP ToS或DSCP值加在每個(gè)數(shù)據(jù)包上。
IT人員應(yīng)該確定WAN優(yōu)化設(shè)備可被配置成能將應(yīng)用分為不同的傳輸流類型,并為每類傳輸流分配正確的IP ToS或DSCP值。設(shè)備隨后會(huì)將來自相同類型的傳輸流裝入相同的隧道數(shù)據(jù)包中,并保證隧道數(shù)據(jù)包的IP包頭包含正確的IP ToS或DSCP值(見圖1)。其結(jié)果是,MPLS CE只需觀察隧道數(shù)據(jù)包的IP包頭,就可為特定傳輸流類型確定正確的服務(wù)等級。
服務(wù)等級保存
在某些情況下,MPLS CE路由器所需的服務(wù)等級標(biāo)記可能在數(shù)據(jù)包抵達(dá)WAN優(yōu)化設(shè)備以前就已經(jīng)生成。在這種情況下,設(shè)備必須在原始IP包上保存IP ToS或DSCP標(biāo)記。
IT部門還應(yīng)確保WAN優(yōu)化設(shè)備可提供這樣的選項(xiàng),以便能在原始IP包被位于MPLS網(wǎng)絡(luò)遠(yuǎn)端的WAN優(yōu)化設(shè)備接收時(shí),保存原始的IP ToS或DSCP標(biāo)記。
圖2:應(yīng)用可見性模式下的隧道數(shù)據(jù)包
如果MPLS CE路由器被配置成能識(shí)別應(yīng)用并能將它們映射到正確的MPLS服務(wù)等級上,則WAN優(yōu)化平臺(tái)就不會(huì)不清楚IP包頭中所包含的應(yīng)用端口號。
路由器必須將應(yīng)用分配為一個(gè)指定的傳輸流類型,但路由器看不到在隧道中的應(yīng)用。解決這個(gè)問題需要使用一種稱為隧道應(yīng)用標(biāo)記或應(yīng)用可見性模式(application visibility mode)的技術(shù)。
應(yīng)用可見性模式
在應(yīng)用可見性模式下,WAN優(yōu)化設(shè)備壓縮原始的IP包并將它們封裝在UDP隧道中。當(dāng)MPLS CE收到隧道數(shù)據(jù)包時(shí),它仍可以根據(jù)隧道數(shù)據(jù)包端口號識(shí)別該應(yīng)用。
如果是TCP應(yīng)用,MPLS CE需要進(jìn)行簡單的配置修改來查尋等價(jià)于TCP端口的UDP(見圖2)。例如,如果路由器的訪問列表被定義為根據(jù)TCP 80端口識(shí)別應(yīng)用,則它需要加入一條可以識(shí)別UDP數(shù)據(jù)包中的80端口的額外規(guī)則。
作者:Dave Phillips
產(chǎn)品線經(jīng)理
派比特網(wǎng)絡(luò)公司
北京市公安局海淀分局備案號:11010802023656號